『adminへのブルートフォース攻撃。。。』のクチコミ掲示板

[laser-physicist]

攻撃時のログ	現在のファイアウォール設定

先ほど自宅に設置しているNASから「ログインに複数回失敗したIPをブロックした」というメールが届き、確認すると2日ほど前から数分に1回のペースで異なるIPアドレスからadminユーザーへのログイン試行が行われていました。

今まで設定していたセキュリティ対策や設定等です
・adminおよびguestユーザーを無効化
・24時間以内に10回ログインに失敗すると永久ブロック
・ログの有効化
・DDNS設定
・ssh、sftp、https、OpenVPN、L2TP/IPSec用のポートをNASのアドレス宛のみに開放

adminを無効にしていたので難を逃れることができましたが、今後も同様のことが続くと心配なのでセキュリティを強化したいです。
・ファイアーウォール設定
画像の通り「自宅のLAN」「自宅のOpenVPN」「日本国内からの接続」を許可しましたが、これでファイアーウォール設定は大丈夫なのでしょうか(ホワイトリストのように動いている)？このリスト以外からのアクセス、例えば海外からのアクセスはこの設定のみで自動ブロックされますか？ファイアーウォールを設定して1時間ほど経つのですが、未だに攻撃のログが増え続けています。このリストの一番下に全ソースからの通信をブロックする設定を追加する必要があるのでしょうか？
・DoS保護
コントロールパネル>セキュリティ>保護から「DoS保護を有効にする」という設定をONにしましたが、これはどのような効果があるのでしょうか？
・その他
この他に有効にしておくべき設定はありますか？

書込番号：24784987

[さすらいのおたく]

あのね、「外部からのアクセス」をオンにしている限りはね、「誰かがジブンのとこまで来る」ことを避けることは、ナニをどーガンバってもできないのよ。

「こーすれば、ダイジョウブ」なーんてことは・・・ナイ！！

なので、まぁ、推測できないだろーって、ユーザー、パスワードにするとか、それらを、頻繁に変えるとか、VPNちゅーもんを使うとか、プロバイダーを変えてしまうとか、・・・

書込番号：24785068

[たく0220]

＞laser-physicistさん

＞このリストの一番下に全ソースからの通信をブロックする設定を追加する必要があるのでしょうか？

はい、その必要があります。
その設定では全て許可になりますので、FWが無いのと同じになってしまいます。
接続元(スマホのモバイル通信時など)のIPアドレス範囲が判るのであればJPで設定するよりは不正アクセスされる可能性は減るかと思います。

＞・DoS保護

短時間に大量のパケットを送り付けるSYNフラッド攻撃とかの保護ですが、詳細は判りかねますので
気になる場合はメーカーサポートに聞いてください。

＞この他に有効にしておくべき設定はありますか？

外部アクセス -> ルーターの設定 は設定無しですか？UPnPは出来るだけ使わないほうが無難です。
SynologyのDDNSはIPv6にも対応しているので、ルーター含めIPv6側のフィルターの設定は念の為確認しておくべきですね。
もしくはDDNSはIPv4のみにしておくか。

インターネットに開放するのはVPNのみに絞って、予備にQuickConnect(ポート開放なしで)のほうが幾分ましかと思います。
これで万全という設定はないので、必要最小限にして可能性を出来るだけ低くする程度しかないですね。

書込番号：24785334

[カタログ君]

常に最新のnasを買う！
これしかないです。

具体的にはファーム更新が無くなったら、
そのNASのセキュリティは終わりです。

書込番号：24785347　スマートフォンサイトからの書き込み

[Gee580]

＞laser-physicistさん

環境、状況などをよく見てみないといけないけれども。
このNASには”SYSTEM”というアカウントもあるのかな？　アタッカーはAdminとSYSTEMを狙ってるよね。
アタッカーのネットワーククローラーに見つかってしまったのだろうね。

＞・ssh、sftp、https、OpenVPN、L2TP/IPSec用のポートをNASのアドレス宛のみに開放

これは、ルーターでの設定かな？　ssh、sftp、httpsは開放する必要があるのかな？　これは、ＰＵＢＬＩＣに公開しているの？　もし、そういう運用でなければ、ＶＰＮだけにしておいたほうがよくないかな？

アタックのパケットをキャプチャして、どのポートからはいってきているのか、確認するのもいいけれども、慣れてないと難しくなってしまうよね。

＞画像の通り「自宅のLAN」「自宅のOpenVPN」「日本国内からの接続」を許可しましたが
このリストの一番下に全ソースからの通信をブロックする設定を追加する必要があるのでしょうか？

製品によっては、White List（ACL）に一つでもエントリーすると、自動的に最後にDeny Allがつくものがあるけども、このNASはそうなってないみたいね。　一番下に全ソースからの通信をブロックする設定を追加しておいたらよいと思うよ。　そのうえでホントにそういう動きをしてくれているのか確認するといいよね。
日本国外をブロックということであれば、IPアドレスから判断できるので　Whois　のサイトで調べてみるといいよ。
https://who.is/
たとえば、一番上の　185.78.75.74　はアムステルダムからだよね。　だから、日本外ブロックは効いてないよね。
日本国内からのアタッカー、ボットなどによるものはふせげないけど、国外をブロックするだけでも、かなり削減できると思うよね。
言われてみえるように、ブルートフォースかもしれないよね。だから野放しにしておいたらダメだよ。LOGIN失敗でも、それはブルートフォースの一環だからいつかは破られるかもしれないよね。

＞・DoS保護　コントロールパネル>セキュリティ>保護から「DoS保護を有効にする」という設定をONにしましたが、これはどのような効果があるのでしょうか？

このアタックは幸いDoSではないのでよかったよね。　シノロジーNASのDoSプロテクションは
”1秒に一回のPingリクエストには返事するけども、それ以上の頻度に対してはなにも返事しない”
という実装のようだよね。　PingによるDoSアタックには有効ということかな。　だから過信してはいけないよ。

＞・その他　この他に有効にしておくべき設定はありますか？

できるなら公開するポート番号を変更するとかして、ネットワーククローラーを欺くとかあるよね。

NASを公開せず、自分だけが外出先からアクセスするだけなら、外出中だけポートをオープンにしてそれ以外はクローズしておくとか。

今、アタックされているので、しばらくはポートをクローズしてアタッカーがあきらめるのを待つとか。

いろいろあるけども、セキュリティーをきつくすると、使いずらくなるので、リスクととれるところ、とれないところで、バランスさせるのがいいと思うけども。

書込番号：24785622

[脱落王]

UPnPを無効化するだけで外部から直接攻撃されるリスクがかなり減ります。
そもそも外部からNASにアクセス出来る必要があるの？

1台PCを挟む必要が出るけど、出先からNAS内のファイルをアクセスしたいだけならTeamViewerを使うのがシンプルです。
ファイル転送はTeamViewerで繋がっているPC経由で出来るし、ポートを開ける必要がありません。
屋内のPCはルーターからWoLで起動できれば電源を入れっぱなししなくてもいいです。

書込番号：24785675

[たく0220]

＞Gee580さん

他意はないのですが、情報元はどちらになりますか？

＞”1秒に一回のPingリクエストには返事するけども、それ以上の頻度に対してはなにも返事しない”

Echo Requestに対しては下記になるかと
-A DOS_PROTECT -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1000/sec -j RETURN
-A DOS_PROTECT -i eth0 -p icmp -m icmp --icmp-type 8 -j DROP

解釈間違ってたらアレなので、セキュリティ関係はメーカーに聞いた方が正確な情報が得られるかなと思います。

書込番号：24785759

[Gee580]

＞たく0220さん

こちらだよね。　英語なんで、みんな嫌いだと思ったんで、事実だけでいいかなと。
https://kb.synology.com/en-sg/DSM/tutorial/How_to_add_extra_security_to_your_Synology_NAS

Enable DoS protection

You can enable Denial-of-service (DoS) protection to prevent malicious attacks over the internet. To do so, go to Control Panel > Security > Protection, tick Enable DoS protection, and click Apply.

After enabling DoS protection, your Synology NAS will respond to only one ICMP ping packet per second. If the frequency is higher than once per second, Synology NAS would not respond to the echo request.

書込番号：24785781

[laser-physicist]

＞たく0220さん
＞Gee580さん
＞脱落王さん
コメントありがとうございます。ファイアーウォールは一番下に他からのアクセスを全拒否する設定を加えたところ、正常にファイアーウォールが効いたのかアクセスログが劇的に減りました。しかし残念なことになんと国内からのアクセスもあり、今はLAN以外からのアクセスを全て禁止にしております。幸い自宅にVPN接続できる環境があるので、しばらくこのまま運用したいと思います。ただ、VPNサーバーは100Mbpsしか出ない非力なラズパイなのでファイル転送などでは使い勝手が悪くなりそうです。ずっと拒否され続けたらいつか諦めるものなのだろうか…？

＞ 外部アクセス -> ルーターの設定
こちらは何も記述していませんでした。ポート解放は全てルーター側で設定しています。UPnPについて詳しくないのですが、なにか変更すべきでしょうか？
＞”SYSTEM”というアカウント
こちらが不思議なのですが、SYSTEM というアカウントは存在しません。存在するのはadmin、guest、自分と家族のアカウントだけという状況で、前2つは無効化しています。ログ上ではadminにログインしようとしているようですが、SYSTEM とはなんのアカウントなのか…？

また、調べるとDSMの接続に使うポートをデフォルトの5001から変更できるようですが、これって効果があるのでしょうか？

書込番号：24785798　スマートフォンサイトからの書き込み

[Gee580]

＞laser-physicistさん
＞SYSTEM というアカウントは存在しません。

アタッカーが他のシステムと思っているのか、わざとそうしているのかはよくわからないよね。　いづれにしろ注意だね。
これは日本の東京だけど、各自治体などでそういうところがあるんじゃないかな？
https://www.cybersecurity.metro.tokyo.lg.jp/security/guidebook/239/index.html
迷惑なので、通報してもいいと思うし、他の人のためにもいいよね。

＞また、調べるとDSMの接続に使うポートをデフォルトの5001から変更できるようですが、これって効果があるのでしょうか？

いま、アタックされてるので、安全側ということで、一応変更しておいたら？

書込番号：24785826

[たく0220]

＞Gee580さん

情報ありがとうございます。
そちらでしたか。

一応日本語のサイト
参考(日本語サイト): Synology NASのセキュリティを強化するために何ができますか？ - Synology ナレッジセンター
https://kb.synology.com/ja-jp/DSM/tutorial/How_to_add_extra_security_to_your_Synology_NAS

ん〜何か微妙な説明ですね。
２台の端末から同時にpingしても応答返ってくるので、機会あったらサポートに確認してみます。

書込番号：24786295

[たく0220]

＞laser-physicistさん

＞しかし残念なことになんと国内からのアクセスもあり、今はLAN以外からのアクセスを全て禁止にしております。

他のメーカーのNASにも来てるような噂は聞いてるのですが、自分のは今のところ静かなので…
国内に踏み台にされてる機器が結構ありそうな感じですね…
外出先からの接続に使う回線が限定的であるなら、モバイルキャリアやISPで割り振られるグローバルIPアドレス(パブリックIPアドレス)は情報が公開されてたり、事情を説明して問い合わせたら教えてくれる場合もありますので確認して
日本ではなくIPアドレスの範囲でフィルタするのが無難なのかもしれません。
あと、NAS側でもVPNサーバーを稼働させているのであれば、接続ログを個別に確認した方が良いかと思います。

＞ただ、VPNサーバーは100Mbpsしか出ない非力なラズパイなのでファイル転送などでは使い勝手が悪くなりそうです。

ラズパイ側はufwとかインストールしてNASと同じような設定はしてますよね？

一応の回避策になるかもしれませんが、DS220jでもTailscaleパッケージはインストール可能ですので、
ルーター側のポートを全て閉じて、gmail等で捨てアカ作ってテストしてみるのも良いかもしれません。
私はまだTailscaleは試してないですが、ポートの開放は不要でいけるみたいです。

Tailscale - アドオン パッケージ | Synology Inc.
https://www.synology.com/ja-jp/dsm/packages/Tailscale

参考: 100台まで無料のVPNサービス「tailscale」、リンクだけでマシンのシェアも可能!?【イニシャルB】 - INTERNET Watch
https://internet.watch.impress.co.jp/docs/column/shimizu/1303751.html


＞こちらは何も記述していませんでした。ポート解放は全てルーター側で設定しています。UPnPについて詳しくないのですが、なにか変更すべきでしょうか？

何も設定してないのであれば、とりあえずはそのままで。
ルーター側のUPnP(UPnP IGDの方でDLNAとかで使われるUPnP AVではない)の設定も無効にするのが良いのですが、ルーターの型番は判りますか？
これはウイルス(マルウェア)に感染した場合の２次被害の防止、回避の為になります。
あと、インターネット側からルーターの設定画面へアクセスが出来るようになっていたら、そっちの方も止めたいですね。

＞こちらが不思議なのですが、SYSTEM というアカウントは存在しません。

systemというユーザーアカウントはビイルトインアカウントでDSM上では設定とかには表示されません。
DSMやSSHからログインは出来ないように設定はされてます、主にDSMのサービスまわりの権限コントロール用に使っているみたいです(rootユーザーと区別させてる)。

＞また、調べるとDSMの接続に使うポートをデフォルトの5001から変更できるようですが、これって効果があるのでしょうか？

一定の効果はあると思いますが、限定的です。ポートスキャンされたら再開されるでしょう…
２要素認証を使う手もありますがWebサービスはXSSなどで認証自体を回避させられる可能性は否定出来ませんので、無いよりは無難といった認識です。


OpenSSLの脆弱性の修正はDSM7.1以外は未修正の状況です。
DSM7.0,DSM6.2で使用を継続される場合は、修正されるまでは外部からのアクセスは閉じるべきです。

参考: Synology_SA_22_04 | Synology Inc.
https://www.synology.com/ja-jp/security/advisory/Synology_SA_22_04

書込番号：24786298

[laser-physicist]

＞たく0220さん
コメントありがとうございます。

>ラズパイ側はufwとかインストールしてNASと同じような設定はしてますよね？
はい、ラズパイのufwはLAN内からのリモートデスクトップ、WANからのOpenVPNとsshのみ通す設定をしていました(sshは22番ポートから変更済み)。またpiユーザーの削除等、最低限の対策はしているつもりです。

>インターネット側からルーターの設定画面へアクセスが出来るようになっていたら、そっちの方も止めたいですね
今使っているルーターはバッファローのWSR-1166DHP3で、WAN側からの管理画面アクセスは禁止にしています(確かこの機種はユーザー名がadmin固定、パスワードも8文字までしか入れられないというものなので、有効化はまずありえないですね。。。)
そしてルーター側のUPnPは有効になっていました。今まではよくわからずいじったことがない設定だったのでおそらくデフォルトで有効かと思います。理解しきれていないですが、軽く調べた範囲ではデメリットの割にメリットがなさそうだったので無効にしてみました。

この状態でもう暫く様子見しようと思います。

書込番号：24786409

[脱落王]

>バッファローのWSR-1166DHP3で、WAN側からの管理画面アクセスは禁止にしています(確かこの機種はユーザー名がadmin固定、パスワードも8文字までしか入れられないというものなので、有効化はまずありえないですね。。。

外部からの管理画面アクセスは言うほど脆弱ではないです。
外部からアクセスする際はポート番号も指定しなければいけないので、入口は割と締まっています。

書込番号：24786447

[Gee580]

＞laser-physicistさん
＞この状態でもう暫く様子見しようと思います。

いまは、アタックはどうですかね？　今後抜けてくるようであれば、それをふさぎながら、ということになるかな？とはおもうけれども、トレースしてパケットの中身を見ないといけないよね。　

＞たく0220さん
＞２台の端末から同時にpingしても応答返ってくるので、機会あったらサポートに確認してみます。

ツールを使うと確実だよね。　ping を　2台からやるにしても、wオプションをつけると確実ではないけれども、テストとしてはましになるかな、という程度だよね。　同一IPアドレスから ping についての頻度かもしれないし、その辺はベンダーに確認だよね。　ping はリプライを待ってから次なのでロードをかけるには不十分だよね。

書込番号：24786550

[たく0220]

＞Gee580さん

Synologyのその説明だとiptablesの設定をした事のある人だとアレ？って思うかと。
ナレッジの説明が実装と違うみたいですので、そのうち聞いてみようかとは思いますが
個人的にサポートに聞くのはストレスなので暇で余裕あるときになりますね ^^;

あとローカルでpingのreplyに秒単位で時間かかったら、機器の故障を疑うレベルになってしまうのでは…

書込番号：24786879

[たく0220]

＞laser-physicistさん

＞はい、ラズパイのufwはLAN内からのリモートデスクトップ、WANからのOpenVPNとsshのみ通す設定をしていました(sshは22番ポートから変更済み)。またpiユーザーの削除等、最低限の対策はしているつもりです。

すみません少々脱線しますが、
SSHはあまり露出させない方が良いのですが、公開鍵認証でパスワード認証は無効化されてますよね？
apt updateで各ライブラリ(opensslとか)最新になってるか？とかは大丈夫ですよね？
あと関係ないですが、
フレッツ回線の場合はSSHのconfigでIPQoS noneの設定はしておいた方が無難ですね。
OpenVPNも回線のMTUにあわせてクライアント側の設定ファイルでmssfix(1300以下ぐらいかな)を調整した方が断片化は減ります。


＞そしてルーター側のUPnPは有効になっていました。

説明書の初期設定一覧を見るとデフォルトで有効だったみたいですね。
念の為、余裕がある時にルーター本体の電源スイッチでOFF->ONして再起動かけておいてください。
※ 昔、再起動しないと設定が残っている物もあったので。

ONUかルーターの再起動でWAN側のアドレスが変わるかもしれません。
変わったら暫くは収まるかもしれませんが、最近はIP変わらないISPもあるみたいです。
誰かがSynologyのサポートかIPAかISPに連絡してログなど情報提供して根本をつぶしてもらわないと止まないとは思いますが…
また別口で来るんだろうなぁとは思います。

NAS側ですが、あとはDownload Stationというのがありますが
BitTorrentにも対応してるので、その仕組みから海外からのアクセスも増えてしまうと思われます。
個人的にはBitTorrentの仕組みは嫌いなので、使いませんしお勧めもしてません。

可能性は出来るだけ潰しておいて、暫く様子見するしかないですね。


DSM6.2のライフサイクルフェイズは現在「延長ライフフェイズ」にあり2023年6月にEOL(End Of Life)となります。
重大な問題があった場合は、EOLまでは修正されたバージョンが提供される可能性があります。
あと１年ほど猶予がありますがDSM7.0のサポートも同日にEOLになりますので更新するならDSM7.1になります。
移行がギリギリにならないようご注意ください。

詳細は下記リンクの「Synology ナレッジセンター」にある「Synology Security ホワイトペーパー」を確認してください。
https://kb.synology.com/ja-jp/search?sources%5B%5D=white_paper

書込番号：24786882

[Gee580]

＞laser-physicistさん
＞あとローカルでpingのreplyに秒単位で時間かかったら、機器の故障を疑うレベルになってしまうのでは…

それは、故障と直結しないよ。　システムがビジーであればそれは全然あり得るよね。　ICMP echo　reｐｌｙ での T2　timer　などないんで、どうともいえないよね。

Trace は　単一アドレスで、Filter　かけてくれるとよかったけどね。　見づらくて。　でも必要ないけども。

書込番号：24786947

[たく0220]

＞Gee580さん

＞システムがビジーであればそれは全然あり得るよね

前提条件書かなかった私も悪いのですが、テスト目的ですからシステムに負荷かかった状況ではありません。
192.168.1.200がDS220jで、キャプチャはDS220jで行ってファイルに落としています。
単に１秒以内に複数回のrequestに対してreply返してしまってますよ、Synologyの説明と違いますねということを説明しときたかったのです。

あと、宛先違いますよ？

書込番号：24787058

[Gee580]

＞たく0220さん
＞あと、宛先違いますよ？

そうだよね。　失礼しました。
文言通り動いてなさそうなのでベンダーに確認かな。　明記されてない条件があるのかもね。

書込番号：24787097

[laser-physicist]

＞Gee580さん
＞たく0220さん
コメントありがとうございます。
数日前にファイアーウォールを一旦解除してみたところ、攻撃がやんでいたようなのでしばらくファイアーウォールを解除して様子見をしていたところ数時間前から再度攻撃されるようになりました。
この状態でDSMのポート(デフォルト5000・5001)を別ポートに変更したところ攻撃のログが出なくなったので、DSMのポート変更が効果的だったようです。どういう攻撃を仕掛けているのかわかりませんが、またこの状態で再度様子見をしたいと思います。

書込番号：24789099

[Gee580]

＞laser-physicistさん

バレてしまってるんで、リストに載ってしまったんで、同じシステムコンフィグや運用では、当分、厳しいんじゃないかな。　ロングインターバルで定期的に見に来ると思うんで、たとえ様子見でも同じことしないほうがいいよ。

書込番号：24789135

[たく0220]

＞laser-physicistさん

まだ攻撃は継続してるみたいですね。
ログで「via [DSM]」と出てるのはhttpかhttpsでのアクセスになります。SFTPの場合は「via [SFTP]」と出てると思います。
VPNの場合は「VPN Server」の方のログで確認してください。
DSMへの場合ヘッダを見ただけでほぼバレてしまいそうです、DSMといってもWebサーバーですので狙われやすいと思います。
ポートスキャンされない事を願うばかりです。

ルーターのWAN側のIPアドレスは変わってない感じですか？ISPにWAN側のIPアドレスを変えてもらえないか相談してみるのも良いかもしれません。
DDNSで追跡されてた場合は暫くしたら再開されるでしょうから、DDNSの名前を変更するきっかけにもなります。

DoS保護は実験しましたが、pingとSYN Floodに対して対処されてるみたいですが
ログセンターなどに警告が上がらなかったので、攻撃されてるかの判断は出来なかったです。
なお正確な情報はサポートに聞いた方が良いかと思います。

書込番号：24789328

[さすらいのおたく]

いろーんなレクチャーしてもらってるみたいだけんど、
「ログに出てこなくなったよー、いやーこれで安心、安心(^_^)v」
なーんて考えたらダメなんだかんねー。

いまはね、だれかが、ドアの前に来ていて、「コンコン」ノックしているんだけど、
部屋の中で、耳をふさいで、聞こえないことにしているだけなんだからね〜。

常にセキュリティに穴が開かないように気を付けて、根本的には、ホントの家とおんなじように、
・アドレスを変える。　（まー、個別に対応していたら、プロバイダーも大変だろうね）
・引っ越す。（プロバイダーを変えるっちゅうこと）
くらいやらないとね。

・・・それでも、誰かは、いずれやってくる・・・ヒタヒタと・・・。

書込番号：24793945